网络与信息安全 第三章 安全策略.pdf

第三章安全策略 1 一、安全策略概述 二、安全策略类型 三、安全策略的生成、部署和有效使用 2 3.1 安全策略概述  策略：“策略”就是为了实现某一个目标，首先预 先根据可能出现的问题制定的若干对应的方案， 并且，在实现目标的过程中，根据形势的发展和 变化来制定出新的方案，或者根据形势的发展和 变化来选择相应的方案，最终实现目标。 1、可以实现目标的方案集合； 2、根据形势发展而制定的行动方针和斗争方法； 3、有斗争艺术，能注意方式方法； 3 3.1 安全策略概述  策略与措施  措施：措施具有目的行动,是针对某一现象作出 的相应的对策。  措施包括了实现策略过程中所采取的管理与技 术手段、方法等。措施应与策略不矛盾。  策略指做什么和不做什么？  措施指怎么做？ 4 3.1 安全策略概述  安全策略：是指在某个安全区域内（一个安全 区域，通常是指属于某个组织的一系列处理和 通信资源），用于所有与安全相关活动的一套 规则。这些规则是由此安全区域中所设立的一 个安全权力机构建立的，并由安全控制机构来 描述、实施或实现的。  网络管理员或者CIO根据组织机构的风险及安 全目标制定的行动策略即为安全策略。  根据确定的保护对象，策略将定义一组管理或 使用的方法，使策略的执行者在面对受保护的 对象时，策略明确规定了什么能做，什么不能 做。 5 3.1 安全策略概述  信息安全策略是一组规则，它们定义了一个组织 信息安全策略的描述应简洁的、非技术性的和具有 要实现的安全目标和实现这些安全目标的途径。 指导性的。  信息安全策略是原则性的和不涉及具体细节，对 如一个涉及对敏感信息加密的信息安全策略条目可 于整个组织提供全局性指导，为具体的安全措施 以这样描述： 和规定提供一个全局性框架。 任何类别为机密的信息，无论存贮在计算机中 ，还是通过公共网络传输时，必须使用本公司信息 安全部门指定的加密硬件或者加密软件予以保护。 这个叙述没有谈及加密算法和密钥长度，所以当旧 的加密算法被替换，新的加密算法被公布的时候， 无须对信息安全策略进行修改。 6  管理是指为提高群体实现目标的效率而采 取的活动和行为。包括制定计划（规 划）、建立机构（组织）、落实措施（部 署）、开展培训（提高能力）、检查效果 （评估）和实施改进（改进）等。  收集信息－评估－组织－部署－对象 － 系统B 7  信息安全的策略文档说明管理人员承担的义务和 责任，并制定组织的管理信息安全的步骤。至少 应包括以下指导原则：  信息安全定义、总体目标及范围以及安全作为保障信息 共享的机制所具有的重要性。  陈述信息安全的管理意图、支持目标及指导原则。  简要说明安全策略、原则、标准以及需要遵守的各项规 定。  确定信息安全管理的一般责任和具体责任，包括报告安 全事故。  参考支持安全策略的有关文献。如针对特定信息系统的